Web-Sicherheit

August 6, 2011

Einbruch bei RSA ging offenbar von China aus

Filed under: Allgemein — sebastiankuebeck @ 14:17
Tags: , , , ,

Dieser, auf CSO Online veröffentlichen Artikel zitiert Joe Stewart, Leiter der Abteilung  Malware Research bei Dell SecureWorks, der behauptet, der Einbuch bei RSA Security (inzwischen Teil von EMC) sei von China aus durchgeführt worden.

Irgendwann im letzten Jahr öffnete ein unvorsichtiger Mitarbeiter von RSA Security eine E-Mail, die vom firmeneigenen Spamfilter als Spam markiert wurde. In der E-Mail befand sich ein Excel-Sheet, welches seinerseits eine Flash-Animation enthielt, die mit Schadcode infiziert war. Dieser Schadcode nutze eine damals noch ungepatchte Lücke in Adobe’s Flash-Player um in den Computer des Mitarbeiters einzudringen. Dies öffnete den Angreiferen offenbar ein Tor zu den wertvollsten Daten, die RSA Security verwahrte, nämlich zu den Schlüsseln von zig Millionen SecurID-Tokens. Mit diesen Schlüsseln gelangten die Angreifer dann offenbar in die Netzwerke bekannter US-amerikanischer Rüstungsunternehmen wie Lockheed Martin. Daraufhin sah sich RSA Security gezwungen, über 40 Millionen im Einsatz befindliche SecurID-Tokens auszutauschen, konnte sich allerdings erst nach deri Monaten dazu durchringen, wodurch dem Unternehmen auf der Black-Hat-Konferenz der „Pwnie“ in der Kategorie „lahmste Herstellerreaktion“ verliehen wurde.

Laut Joe Steward ist diese Schlussfolgerung das Ergebnis aus seiner Arbeit an einem Projekt, indem er 60 verschiedene Familien von Schadsoftware klassifizieren sollte. Bei dieser Schadsoftware handelte es sich um keine gewöhnlichen Computerviren sondern um Software, die speziell für Spionageangriffe erstellt wurde. Diese Spionageangriffe werden häufig als  Advanced Persistent Threat (APT). Dieser begriff hat unterschiedliche Bedeutungen aber für Steward handelt es sich dabei um Spionageaktivitäten, die gegen Regierungen und die Industrie gerichtet sind.

Zwei Schadprogramme, von denen man weiß, dass sie im Zuges des Einbruchs bei RSA Security verwendet wurden, basieren auf dem bekannten Hackerwerkzeug „HTran“, dass den Ort des Steuerungsservers eines Botnets verschleiern kann. Ein solcher Steuerungsserver wird vom Angreifer betrieben und dient als Steuerungszentrale für die verteilte Schadsoftware, der letztlich auch alle erbeuteten Daten einsammelt.

Wenn sich der Schadcode im Computer des Opfers einnistet, leitet HTran eingehende Verbindungen an den verborgenen Steuerungsserver weiter. HTran wurde ursprünglich von einem bekannten chinesischen Hacker der sich selbst „lion“ nennt, programmiert. Lion wird nachgesagt, die „Honker Union of China“ – eine patriotische Hackergruppe in China gegründet zu haben.

HTran dient an sich dazu, die IP-Adresse des Steuerungsservers zu verbergen, allerdings gelang es Steward laut eigenen Angaben Fehlermeldungen von HTran auf den gehackten Computern zu finden und diese Enthielten IP-Adressen der Steuerungsserver. Stewart analysierte die Daten des RSA-Einbruchs, die ihm vom CERT zur Verfügung gestellt wurden und stellte laut eigenen Angaben fest,  dass zwei der MTran-Komponenten Netzwerkverkehr an ein paar chinesische Netzwerke weiterleiteten.  Es handelt sich dabei offenbar um zwei ISPs aus Beking und Shanghai, darunter China Unicom, einem staatlichen Telekommunikationsunternehmen.

Im Bericht von Dell SecureWorks ist zu lesen: „Es ist keine Überraschung dass Hacker, die ein chinesisches Hackerwerkzeug verwenden von IP-Adressen aus China operieren. Die meisten gefundenen IP-Adressen gehören großen ISPs, was Nachforschungen ohne die Unterstützung chinesischer Behörden schwierig bis unmöglich macht.“

SecureWorks veröffentlicht nicht nur einen Bericht indem Details über die Analysen enthüllt werden, sondern auch Signatiren für das bekannte Intrusion Detection System Snort, mit denen diese Schadsoftware identifiziert und blockiert werden können sollen. Der Einbruch bei RSA hat sich für die Mutterfirma EMC inzwischen als zeimlich kostspielig erwiesen, denn die Folgekosten haben sich laut Angaben von EMC auf 66 Millionen Dollar angehäuft.

Inzwischen hat ein anderes Sicherheitsunternehmen, nämlich McAfee, in einem Bericht mit dem Titel „Operation Shady RAT“ (Operation zwielichtige Ratte) mehr als 70 Firmen und Regierungen bezichtigt, seit 2006 Opfer von computergestützten Spionageangriffen (neudeutsch Cyber-Angriffen) geworden zu sein, ohne konkrete Quellen zu nennen.

Verwunderlich ist das alles natürlich nur für Leute, die glauben, dass sich alle Spione aus dem kalten Krieg inzwischen damit begnügen, ihre Kleingärten zu pflegen. Tatsächlich haben sich die schon zu Zeiten des Zerfalls der Staaten des warschauer Paktes hoffnungslos aufgeblähten Geheimdienste schnell die Wirtschaftsspionage als neues, einträgliches Betätigungsfeld ausgesucht  – natürlich ohne ihre bisherigen Spionagetätigkeiten zu vernachlässigen. Manche Geheimdienste wurden sogar von ihren Regierungen offiziell damit beauftragt, einheimische Firmen vor Industriespionage zu schützen und der eigenen Wirtschaft durch ihre Tätigkeit „Vorteile“ auf dem Weltmarkt zu verschaffen. Das sich diese Geheimdienste vermehrt das Internet für ihre Tätigkeiten suchen liegt wahrscheinlich an den geringeren Kosten und der hohen Effektivität im Verhältnis zur „traditionellen“ Spionagetätigkeit. Es ändern sich also wahrscheinlich nur die Methoden, nicht aber der Umfang der Spionagetätigkeit. Ebenso naiv ist es natürlich zu glauben, dass nur China diese Art „Informationsbeschaffung“ einsetzt.

Update: RSA gibt übrigens wieder Sicherheitstipps
Laut diesem kürzlich veröffentlichten Dokument müsse sich der Schtz vor APT auf die wichtigsten Bereiche konzentrieren, auf die „Kronjuwelen“, lautet einer der Ratschläge. Angreifer am Eindringen zu hindern, sei nicht immer möglich. Sie möglichst frühzeitig zu entdecken und die Folgen des Angriffs möglichst gering zu halten – das definiere den Erfolg der APT-Abwehr.

Angreifer am Eindringen zu hindern ist also nicht immer möglich? Nein, darauf wäre jetzt nun wirklich niemand gekommen…

Update 12.10.2011: RSA offenbar von zwei unterschiedlichen Hackergruppen gehackt

1 Kommentar »

  1. 1) Der Spaß mit Excel und Flash oder PDF ist doch wohl der Klassiker….

    Dass RSA das jetzt schon gemerkt hat, beeindruckt doch sehr. Siehe eigenes Szenario http://www.heise.de/security/news/foren/S-Wirklich-phantasielos-wahrscheinlich-auch-keine-Ahnung/forum-176480/msg-18282371/read/….
    (auch siehe http://www.heise.de/security/news/foren/S-Zur-Erinnerung-und-das-Problem/forum-128326/msg-14007264/read/)
    (http://www.heise.de/newsticker/foren/S-NEIN-leider-nicht-Re-China-Hack-Angriff-nur-Mediengau/forum-123099/msg-13425144/read/)
    BTW:

    2) Gehe ich davon aus, dass der SPAM-Filter NICHT angeschlagen hatte. Diese Tatsache will nur keiner in der EDV bei RSA zugeben, denn die Chinesen setzen doch gegen RSA nicht schwächere Werkzeuge ein als gegen einen deutschen Mittelständler.

    Der Trick der Chinesen war bzw. ist, auf den von Ihnen kontrollierten Server den Schadcode hinter den Links ein- und auszuschalten.

    Ein beobachtetes Modell: Die Chinesen schalten den Schadcode nur ein, wenn (nicht falls)
    a) der http-Klient sicher als Browser identifiziert worden ist (die verlassen sich nicht auf die Browserkennung),
    b) eine hohe Wahrscheinlichkeit besteht, dass der Abrufende tatsächliche eine natürliche Person ist, und keine Bot. Wird augenscheinlich über eine Varianzanalyse der Klickgeschwindigkeit gemacht, entsprechende Cache- bzw. Preooad-Funktionen im Browser reichen schon, dass der Schadcode NICHT ausgeliefert wird. Damit schützt man sich effektiv gegen Entdeckung — man kann es ja nochmal probieren, oder bei einem anderen Mitarbeiter.
    (Sie schalten den Schadcode sogar außerhalb der üblichen Arbeitszeit des Opfers ab.)
    b1) Sie versuchen tatsächlich den Benutzer zu identifizieren. Sie schaffen es, zur gleichen Zeit unterschiedlichen Code an verschiedene Mitarbeiter auszuliefern. Damit wird natürlich das Opfer effektiv kompromittiert.

    Erste Beobachtungen Herbst 2007!
    vgl. http://www.heise.de/security/news/foren/S-Ich-versuche-es-zu-erkaleren-soweit-ich-es-verstanden-habe/forum-128326/msg-14007655/read/

    Sollte RSA es wirklich nicht besser wissen, dann sind die ECHT LAHM, bedauert Hans

    PS.: „ECHT LAHM“ habe ich bisher nur noch zweimal eine Lösung genannt.

    Kommentar von Hans Adams — August 6, 2011 @ 17:58 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: